Nederlanders zijn niet gauw bereid om biometrische data af te staan voor authenticatie. Ze vinden het gebruik van een vinger-, iris- of gezichtsscan riskant zonder een goed beeld te hebben van de inzet van die verificatiemiddelen. Om dat tij te keren, moet de securitysector opener zijn over de werking van die technologie en waarom en hoe bepaalde data worden gebruikt.
Dat stelt security-expert Brenno de Winter in een reactie op de uitkomsten van onderzoek van ict-beveiliger Unisys. Uit het Unisys Security Index Report 2020 blijkt namelijk dat Nederlanders niet happig zijn op het delen van biometrische data om hun identiteit te verifiëren.
De helft van de ondervraagden wil zijn stem niet delen om de identiteit te verifiëren. Ook gezichtsherkenning wordt door 41 procent van de respondenten afgewezen als verificatiemiddel. Een vingerafdruk wordt door 39 afgewezen en een irisscan door 43 procent. Een vergelijking met andere landen is er niet. De beveiliger stelde de vragen over biometrie specifiek aan de Nederlandse onderzoeksgroep van ruim duizend man.
Gevoel in plaats van techniek
Beveiliging-expert en voormalig onderzoeksjournalist Brenno de Winter, die door Unisys is gevraagd om op de uitkomsten te reflecteren: ‘Het lijkt alsof we verkrampen als het op biometrie aankomt.’ Hij legt uit dat mensen privé volop gebruikmaken van een vingerscan of gezichtsherkenning om hun smartphone te ontgrendelen, maar zodra biometrie wordt genoemd als een extra beveiligingslaag bovenop het gebruikelijke wachtwoord, de aarzeling vaak toeslaat.
‘Dit is in mijn ogen onterecht. We beoordelen vaak op gevoel in plaats van op de feitelijke techniek. Een vingerafdrukscan maakt bijvoorbeeld geen foto van je vingerafdruk, maar legt herkenningspunten vast. Er ligt dus een grote uitdaging voor organisaties in het dichten van het gat tussen het daadwerkelijke risico en het gepercipieerde risico.’
Privacy-verklaringen
De Winter, die ook als verantwoordelijke voor privacy en security betrokken is bij de ontwikkeling van een overheids-app voor contactonderzoek bij corona: ‘Als er niet meer verteld wordt over hoe het werkt, vertrouwen mensen het niet.’ Hij ziet ook dat bijvoorbeeld de taal in privacy-verklaringen erg juridisch van opzet is. ‘Er wordt in veel gevallen niet eens gedeeld wat er precies wordt opgeslagen. Daardoor ontstaat angst. Eindgebruikers begrijpen niet waar ze toestemming voor geven en weigeren.‘ Hij ziet een securitysector die omwille van beveiliging weinig informatie deelt, maar daardoor tekortschiet in het creëren van vertrouwen in technische oplossingen door meer te delen over de werking van die tools.’
De Winter: ‘Bij elk beveiligingsincident bij grote organisaties, waar ik de afgelopen vier jaar bij betrokken was, speelde gebrekkige authenticatie een rol. De inzet van alleen gebruikersnaam en wachtwoord voor authenticatie is in het bedrijfsleven namelijk nog altijd de norm, maar voldoet al lang niet meer. Ieder jaar zien we opnieuw dezelfde lijsten met ‘slechte wachtwoorden’, mensen blijken namelijk helemaal niet goed in het onthouden van al die wachtwoorden en verzinnen dan makkelijk te kraken wachtwoorden.’ Hij verwacht dat op termijn bij gevoelige systemen veel vaker via biometrie geverifieerd zal worden of de juiste persoon nog achter de computer zit.
Corona
Terug naar het onderzoek van Unisys. Daaruit blijkt dat maar 9 procent van de Nederlanders die thuiswerken zich zorgen maken over een datalek of cyberaanval. Terwijl het aantal cyberaanvallen tijdens de wereldwijde corona-pandemie vervijfvoudigd is.
Volgens de beveiliger is dat reden te meer om serieuzer te kijken naar biometrische opties voor een extra beveiligingslaag.
Het betreft hier een heel ander probleem : bij biometrische detectie is de uitslag niet meer aan te passen, dus als mijn gegevens gestolen worden heb ik een groot probleem. Bij een password kan ik dat simpel wijzigen en niemand kent ’t meer. Voor mij dus geen biometrische detectie!
Biometrische data is datgene waaraan mensen mij herkennen. Zoals de overheid mij herkend aan mijn BSN.
Zoals J. de Grood al aangeeft, dat kun je niet veranderen.
Ik heb al demonstraties gezien van 3-d geprintte vingers met bestaande patronen en veel gezicht- en iris-scanners laten zich met een goede foto om de tuin leiden.
Het lijkt me niet verstandig om dat soort data te delen, zeker niet met partijen die je niet zelf in de ogen kunt zien.
Zeker, ingewikkelde wachtwoorden en tweefactor authenticatie met tokens is lastig maar dat ongemak neem ik graag voor lief in ruil voor het delen van dingen die mij ik maken.
J.de Grood haalt wat dingen door elkaar want in het WIE BEN IK is er maar één goede oplossing en dat is biometrie. Iets wat we dagelijks doen is mensen herkennen (gezichtsherkenning) en niemand die daar een probleem van maakt, er is zelfs een verbod op gezichtsbedekking. En er zullen vast cases zijn waarmee identiteitsdiefstal gepleegd wordt op basis van biometrie zoals een 3-D geprinte vingerafdruk of een nagemaakte iris maar ik ken er niet veel. Wel ken ik vele social engineering cases voor identiteitsdiefstal om zodoende de combinatie account/wachtwoord te verkrijgen. Het is om deze redenen dat je voor het verkrijgen van IDENTITEITSBEWIJZEN voor electronische diensten je daarom je fysiek met een ander identiteitsbewijs moet komen melden. En in de stap waarin de wie ben ik vertaald wordt naar een identiteitsbewijs vormt in Nederland de GBA nog altijd een belangrijke bron. Maar zoals Brenno al concludeert maken we ons druk om de verkeerde dingen.